Upload
onfroi-loyer
View
108
Download
0
Embed Size (px)
Citation preview
Christian-Pierre BelinMicrosoft France
Objectifs de la sessionSouligner les contraintes de sécurité pour permettre des accès distants aux ressources en extranet (pour les employés, les partenaires, les fournisseurs ou les clients)
Comprendre les bénéfices qu’apporte IAG 2007
Ce qu’il faut retenir…Nombre de considérations sécuritaires et fonctionnelles entrent en jeu lors de la mise en œuvre de projets d’accès distants
IAG 2007 propose une solution clef en main permettant des accès distants depuis pratiquement tous périphériques vers la majeure partie des applications d’entreprise
Positionnement d’IAG 2007Les scénarii d’accès distantsConsidérations sécuritairesConsidérations fonctionnellesDémo: Du côté utilisateurDémo: Du côté administrateurLes fonctionnalités…
Plateforme et infrastructure de gestion Plateforme et infrastructure de gestion standardiséestandardisée
La problématique:Avec l’essor d’Internet, les entreprises ont eu de plus en plus besoin de plateformes permettant d’offrir un accès distant à leurs employés, partenaires ou clients, et ce de manière toujours plus sécurisée.
Les solutions ?1ere approche:
Dialup Remote Access
Solution chère et trop limitée.
2iéme approche: Se limiter à l’usage de reverse proxy pour des applications Web.
3iéme approche: L’essor du VPN IPSec pour les utilisateurs distants
Mais le VPN IPSec a été initialement conçu pour de la connectivité site à site.
Introduit les limitations suivantes:
L’extension du réseau interne augmente les risques de sécurité
La difficulté à traverser des réseaux avec Firewall ou NAT
La partie client se complexifie toujours davantageClient firewall, antivirus, split tunneling…
Installation et déploiement
Nécessite des privilèges administrateur
Peut interférer avec d’autres logiciels de sécurité
Peu intuitif pour l’utilisateur
Résultat:Les entreprises en limite l’usage aux “road warriors” et aux PCs gérés
Le TCO est haut avec un ROI limité
Central LocationCentral Location
Mobile WorkerMobile WorkerIn AirportIn Airport
Branch OfficeBranch Office
Home OfficeHome Office
IPSec VPNNécessite l’installation d’un clientNe fonctionne pas partoutRisque de connecter des PCs non gérés au réseau interne
Reverse ProxyNe résous pas les applications Client/ServeurNe différencie pas le type de périphérique utilisé
Terminal ServicesDéploiements limités principalement du aux contraintes côté serveur applicatif
Un cahier des charges proposant les même fonctionnalités pour:
Tous les utilisateursDepuis n’importe oùPour tout type d’application
Basé sur un TCO faibleApparition de nouvelles considérations sécuritaires afin de prendre en charge les nouvelles contraintes (PCs non gérés…)La première vague de produit était centré sur les problématiques de connectivitéLa vague actuelle se concentre sur l’intelligence applicative
Support des applications en VPN SSLWeb – Client/Server – File AccessApplications “maison”Tierce-partie, e.g. Citrix, IBM, Lotus, SAP, PeopleSoft…
Conçu pour les utilisateurs et postes gérés & non gérés
Détection automatique du système, des logiciels et de la configurationStratégies d’accès en accord avec l’état de sécurité du posteEfface les fichiers temporaires et les données des postes non gérés
Aide à la productivité grâce à l’intelligence applicative
Applique des règles au niveau des fonctionnalités applicativesContrôle dynamiquement la cohérence des transactions applicativesSSO exposé sur différents types de référentiels, protocoles et formats.Interface utilisateur & portail personnalisables
Une ligne de produit de sécurité
complète permettant d’offrir une
protection renforcée grâce à une forte
intégration et à une gestion simplifiée
PérimètreOS Client et Serveur Serveurs Applicatifs
Les produits Forefront Edge Security & Access, Internet Security and Acceleration (ISA) Server 2006 ainsi qu’ Intelligent Application Gateway (IAG) 2007 proposent une plateforme de protection périmètrique et applicative, basée sur des règles spécifiques d’accès au réseau interne et à ses ressources applicatives.
Accès optimisé pour les employés, partenaires ou
clients depuis virtuellement n’importe
où
Optimiser la sécurité et l’utilisation du WAN
pour les sites distants
Protéger votre environnement des utilisateurs internes qui accèdent à du
contenu malveillant ou douteux
Gestion des accès sécurisés
Authentification – Qui êtes-vous?
Authentification forte – L’êtes-vous vraiment?
Habilitation – A quoi avez-vous accès?
Sécurité du transport – Quelqu’un peut-il écouter?
Sécurité applicative – Devriez-vous faire cette transaction?
Sécurité du poste – Depuis ce type de machine?
Protection de l’information – Cela doit-il rester dans la nature?
Sécurité de la session – Pendant combien de temps pouvez- vous faire cela?
Publication aisée des applications Web et non Web (C/S)Une expérience utilisateur intuitive
Pas de client ou très léger
Un seul point d’entrée ou d’accès
Expérience d’authentification unique (SSO)
Auto-assistance (« Rémediation »)
Gestion des mots de passe
Une solution VPN SSL doit inclure:Une solution VPN SSL doit inclure:Encapsulation – Transférer le trafic Web et non Web dans du SSL;
Sécurité du poste – Vérification de la conformité, nettoyage du cache, timeouts
Authentification – Annuaires (e.g. Active Directory), Support de l’authentification forte, SSO
Autorisation – autoriser/refuser l’accès aux applications
Portail – Expérience utilisateur, interfaces
Applications
Client
Web
Simple TCP
non-WebManagement
Authentification
Autorisation
Portail
Encapsulation
Sécurité
Passerelle
SSL VPN
Client Haute disponibilité, Gestion, Logging, Reporting, gestion de plusieurs portails
Authentification
Autorisation
Experience utilisateur
Encapsulation
Sécurité
Applications spécifiques
Web
Client/Server
Browser Embedded
Exchange/ Outlook
OWA
SharePoint
Citrix
Applications génériques
Modules applicatifs spécifiques
• Connaissance des applications• Définition de la syntaxe/langage des applications• Modules applicatifs
Passerelle VPN SSL
Web ProxyPort/Socket Forwarding
Applications concernées: MS Terminal; Citrix; Telnet; SSH; SAP Client; Native Drive Mapping etc
Native Outlook ; IP-based applications ; clustered terminal services; notes cluster etc
Technologie utilisée: TCP Relay; HTTP proxy; Socks proxy
Network ConnectorApplications concernées:
Toutes applications IP (TCP/UDP/ICMP) pour des directions entrantes/sortantes
Technologie utilisée: Accès réseau complet (Interface Réseau virtuelle de type VPN)
Niveau d’accès
Web Prox
y
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner
PC
Internet kiosk
Network Connection
Plus de 70 paramétres peuvent être testés dont:
AntivirusAntimalwarePersonal Firewall
Desktop Search et utilitaires d’indexation
Et aussi…Accès direct et intuitif aux régles de baseInterface graphique permettant l’édition et la modification des paramétresS’appuit sur le script Windows Shell pour créer de nouvelles régles ou inspecter d’autres paramètres
Propose un accès contrôlé aux applications et à leurs opérations au travers de stratégies
Permet le contrôle de certaines opérations applicatives:
Document download / uploadDocument check out / check inEdit document / propertiesDelete
Politique mise en oeuvre côté client et serveur
Exemple: transfert de pièce jointeProblème
Les utilisateurs peuvent contourner l’interdiction de downloader les pièces jointes en transférant les emails, et ainsi être en mesure d’ouvrir les attachements.
SolutionForward: L’utilisateur qui utilise la fonction “transférer” sera bloqué et averti que seule la fonction de transfert sans pièce jointe est accessible.Reply with History: L’utilisateur qui souhaite utiliser cette option sera bloqué et recevra un message adéquate.
Inspection et filtrage intelligent au niveau applicatif afin d’empêcher des trames non-conformes qui pourraient induire un comportement applicatif non souhaité.
Blocage du trafic malicieux (mauvaises commandes ou syntaxes) grâce à une logique de règles positive ou négative.
Jeu de règles (logique positive) prédéfinies pour certaines applications
Dans une certaine mesure, l’utilisation de la logique positive permet potentiellement de s’affranchir d’attaques encore inconnues (zero day exploit)
Gérer les accès des employés, des partenaires et des clients pour accéder aux applications d’entreprise
Possibilité de définir plusieurs portails par applianceChacune ayant sa propre adresse IP et son hostnameChaque portail est totalement personnalisable (aspect, applications, authentifications et autorisations).
Etendre l’usage des applications au-delà du réseau interne
Mettre en place des stratégies d’accès sans réduire le niveau de sécuritéCapitaliser sur les infrastructures logicielles déjà en placeModèle d’accès qui propose un usage fonctionnel maximal en fonction du niveau de sécurité des clients
IT Support
Partners
Employees
Customers
IT Support Center
Username:Password:Token:
Employee Portal
Username:Password: Token:
Partner Extranet
Username:Password:
e-Commerce
Username:Password:
support.xyz.com
portal.xyz.com
extranet.xyz.com
shopping.xyz.com
Informations techniques, training http://www.microsoft.com/forefront/edgesecurity/iag/whitepapers.mspx
Lab virtuels et démos sur http://www.microsoft.com/forefront/edgesecurity/producttours.swf
1
Versions d’évaluations et Maquettes virtuelles sur http://www.microsoft.com/forefront/edgesecurity/trial.mspx
2
3
200 sessions techniques, 3 plénières, des workshops, des hands on lab, de la formation et certificationUne édition spéciale lancement Windows Server 2008, SQL Server 2008, Visual Studio 2008et plus de 20 thèmes Management, Sécurité, Communication & Collaboration, Virtualisation, Business Intelligence, …